Após ataques de alto perfil que afetaram centenas de milhões de americanos, o Escritório de Proteção Financeira do Consumidor (CFPB) está propondo uma regra que limita a capacidade dos corretores de dados de vender informações pessoais e financeiras sensíveis dos americanos.
Sob a regra proposta, os corretores de dados que vendem informações sobre a renda dos consumidores, histórico de crédito, pontuação de crédito ou pagamentos de dívidas seriam considerados agências de relatórios de crédito. Como tal, eles teriam que cumprir a Lei de Relato Justo de Crédito (FCRA), uma lei que limita como essas agências podem obter e usar as informações fornecidas em relatórios de consumidores. Em outras palavras, eles seriam tratados como bureaus de crédito e empresas de verificação de antecedentes, que já precisam cumprir a FCRA.
Durante uma coletiva de imprensa na segunda-feira, o diretor do CFPB, Rohit Chopra, mencionou a enorme violação de dados do National Public Data no início deste ano, que vazou mais de 200 milhões de números de Seguro Social que foram oferecidos para venda na dark web. “Esses não são apenas incidentes isolados: eles representam uma vulnerabilidade sistêmica em como nossos dados pessoais são comprados e vendidos”, disse Chopra.
Países estrangeiros têm feito grandes esforços para obter esses dados, já que procuradores federais alegaram que quatro membros do exército da China realizaram a violação da Equifax em 2017, semelhante à violação do Escritório de Pessoal da Administração alguns anos antes. Ainda assim, “nossos adversários não precisam hackear nada” para obter os dados mais sensíveis dos americanos, disse Chopra na coletiva de imprensa. “Corretores de dados – as empresas que coletam e vendem informações detalhadas sobre nossas vidas pessoais e financeiras – estão tornando esses dados disponíveis para qualquer um disposto a pagar um preço”, disse Chopra.
“Ao vender nossos dados pessoais mais sensíveis sem nosso conhecimento ou consentimento, os corretores de dados podem lucrar permitindo fraudes, perseguições e espionagem”, afirmou Chopra.
Além de exigir que os corretores de dados cumpram a FCRA, a nova regra exigiria que os consumidores fornecessem consentimento claro para o compartilhamento de dados. Os corretores de dados seriam obrigados a obter permissão explícita para vender informações pessoais ou financeiras sensíveis de um consumidor.
A regulamentação está direcionada a empresas privadas, não a operações governamentais. Durante uma coletiva de imprensa na segunda-feira, um porta-voz do CFPB disse que a agência está solicitando comentários sobre como garantir que as agências governamentais continuem a ter “acesso apropriado” a essas informações. O CFPB aceitará comentários sobre a regra proposta até 3 de março de 2025 – mas é possível que Trump e seus aliados, que estão supostamente analisando maneiras de restringir os poderes da agência, possam desativar o CFPB antes disso.
Durante a coletiva de imprensa na segunda-feira, um porta-voz do CFPB se recusou a comentar sobre “o que uma futura administração pode fazer”, mas apontou para “um amplo reconhecimento bipartidário de que os corretores de dados representam perigos reais tanto para a privacidade dos americanos quanto para a segurança nacional.” Mas algumas agências governamentais, incluindo a Imigração e Controle de Alfândega e o FBI, também dependem dos corretores de dados para contornar restrições de vigilância.